浅析社会工程学中的信息泄漏

◆金莉莎 朱翔 张雅雯

浅析社会工程学中的信息泄漏

◆金莉莎 朱翔 张雅雯

（四川传媒学院 四川 611745）

层出不穷的数据信息隐私泄密事件，一直是全球各国安全领域防范的重点，如今社会工程学的兴起，成了攻击手段的最重要的一种方式，这种方式击中了人性中最脆弱的一环，使得更轻松的窃取数据信息。文章对社会工程学的信息收集方式进行分析与日常预防方式提出自己的见解。

信息泄漏；社会工程学；网络安全

21世纪随着信息智能化，物联网，大数据分析，人工智能等新兴技术兴起，网络数据安全的重要性逐步凸显出来。在如今，科技与防护手段的提升中使得传统攻击手段越来越难以获取数据信息，而在非传统攻击手段中，社会工程学是针对最薄弱的一环进行攻击，而这一环就是人，通过多学科交叉融会贯通，将攻击泄露的数据信息，分析收集组装，逐渐完善所有数据信息，以得到自己的利益。

1 社会工程学

近几年随着网络技术的飞速发展，人们接触到网络的方式也可谓多元化的，互联网像是一个放大器，它放大了人的欲望、在人性的贪婪、弱点上做了加法。建筑、医疗有它的工程，互联网也有它的工程----社会工程学。一提到信息安全隐患，我们就会想到攻击者利传统攻击手段，层层突破我们的信息安全保护，但实质上，他们还通过社会工程学这个途径。社会是由千千万万的个人组成，而每个人的欲望、贪婪、弱点都截然不同，因此将这些异同点进行归纳分析便会产生一个令人闻风丧胆的“学问”。比方说，作为求职者的你收到了一封来自知名公司的offer，在毫无戒备的情况下，你便会点击这个邮件，按照攻击者预先设定的阴谋，从而获取你的私密信息。为什么正在求职的你，刚好会收到应聘的邮件？为什么你看到这个邮件你不会怀疑它的真假性？这便是攻击者通过各种途径掌握了你最近动态，利用欺骗的手段，唤醒你人性底层的欲望与弱点，并且伪造一些浮于表面的假象打消你的猜疑，建立相互信任感，引诱你自发泄露你的私密信息。当你的信息赤裸裸的暴露在别人面前时，此时人为刀俎，我为鱼肉。社会工程学便是这样一门“学问”，人性本来脆弱，在众多攻击方法中，攻破人心理的防线，是最轻而易举之事，也是成本最低的。

2 信息收集

信息收集是进行攻击的前提，也是关键的环节。一个攻击者的攻击方案是否优秀绝大程度取决于前期的信息收集，但信息收集过程绝不仅仅在于前期，而是嵌套在我们攻击的始终，这也就意味着我们的攻击者需要根据被攻击方的实时动态有效地进行方案策略的更改。了解一个人包括知道他基本信息，包括姓名、年龄、出生日期、电话号码，行为习惯、性格特点、近期活动等，这些信息收集的来源十分的广泛，也许不经意之间我们便泄露了重要信息。例如，大多数人都喜欢网购，拆了包裹就往垃圾箱里扔，殊不知，快递盒上有我们电话和地址，而有的攻击者会间接获取你的重要信息。这只是信息收集方式的冰山一角，我们将信息收集的方式分为两大类，一种是基于互联网的信息收集，一种是不基于互联网方式的信息收集。

（1）常见信息收集方式

基于互联网的信息收集方式包括搜索引擎、社交平台、权威网站、数据公司等。

我们一般都会去搜索引擎上面获得资料，大多数的搜索引擎都会有网页缓存，上面有历史记录、搜索时间等信息。

如今是一个互联网发达的时代，我们的社交也越来越广泛，而任何互联网的社交都会存在某种程度的信息安全隐患。我们会通过微信、QQ、微博、抖音等社交平台进行信息的分享，如果在个性资料里面我们填写了真实的出生日期、邮箱、地址，那么当攻击者搜索到你的账号时，同样也获取到了你的这些信息。

不基于互联网的信息收集方式包括收集垃圾堆里面的文件、闲聊套话、潜伏在攻击对象的环境。

企业的垃圾箱里面往往包含了许多重要资料，可也被我们很多人给忽略。比如员工的便利贴、活动安排、电话号码、会议记录等，如果将这些碎片拼凑在一起会获得一个人的最近活动信息。一个聪明的攻击者会从你身边的人开始了解你，他们会佯装成为你的同事、朋友，利用这些信息与街坊邻居建立信任，套出你的更多个人信息，而此刻的你完全不会察觉，同样一些咨询台也成为攻击者有迹可循的场所，一般咨询台都是向外部人员提供咨询服务的，对于咨询者也是尽量帮助，攻击者就会利用咨询台更加方便获取一些重要信息。

攻击者还会潜伏在被攻击对象的生活环境当中，观察他的起居生活和行为习惯，以便后期攻击时，让你放下戒备，慢慢成为他们的囊中之物。例如，上下班携带电脑的人可能是计算机行业的；能说会道、表达能力强的人可能是销售；下班后身上一股消毒水味道的可能是医生。

通过与被攻击者身处同一环境获得的信息便是最为直接的信息，也是被攻击者与攻击者建立基本信任的信息。当攻击者提及这些信息时，仿佛就是你的某位熟人，这一层信任障碍便得到突破。

（2）信息的交叉泄露

信息的交叉泄露原意指的是数据信息通过不同的方向暴露在社会公众面前，但现如今因为云计算、大数据分析技术兴起的环境下，交叉泄露是指数据信息一旦发生泄露，将造成其他数据信息泄露在开放网络中，这毫无安全可言。

在曾经，个人的数据资料只有国家机关才有，何况更全面的个人资料还需要自己去登记。现如今，每个人都有一台智能手机，手机号绑定身份证号，出行使用GPS定位，系统激活时会让你去同意他的用户数据使用条款，因此你的所有出行数据全部被记录在里面。同样，在我们使用电商平台时，例如淘宝，京东，拼多多等，基本都为实名制，这也表示你的所有信息也被记录在数据库中。在云计算和大数据分析平台上，查询被泄露的手机号就可获得你全部的个人信息。若攻击者通过身份证和手机号相互交叉验证的方式，一个人的隐私将会被他轻易获取。例如一个人丢失了手机，可能会出现第二天信用卡被盗刷，社交网站用户名密码被修改等情况。这种情况应该给政府和我们敲响一记警钟，如何去重视和预防如今的大数据时代隐私的泄露风险问题。

3 信息泄露危害

在当今这个信息互联的时代，无论是微信的注册，美团的使用还是各种App的注册都会用到我们的身份信息，而当我们将信息公布给这些App后，其实我们的个人信息就已经存在某种程度的安全隐患，你无法确定掌握我们信息的公司是否会有相应技术漏洞或者间接将信息透露给攻击者。个人信息泄漏，最轻的后果就是会长时间收到骚扰电话和垃圾信息，而最恐怖的后果就是，这些攻击者在拥有完整的个人信息后，就会利用这些身份信息去做违法的事情，不法分子可以利用你的身份证号码、电话号码、银行账号等等信息去向其他App借款，现在大多数的支付机构都可以用不同的手机号注册相同的已经实名认证过的支付账号，而且还允许多个账号绑定相同的银行卡，甚至有些平台在用户使用该张银行卡进行贷款时，不会进行人脸识别，这也让犯罪分子钻了空子，他们能更简便的利用被攻击者的银行卡，甚至可以让被攻击者银行账户的钱财不翼而飞。

4 社会工程学预防

个人方面：在生活中，应该养成在丢掉自己的消费凭据、火车票、快递单据、取款凭条之前，先将其撕毁的习惯，千万不能小看这些单据，很多攻击者都是从这些看似没用的东西上获得我们的个人信息。例如在购物中心等地，会通过礼品诱惑你扫码或填表的方式收集个人信息，然后就利用这些信息去做违法的事情。总之，只要自己在日常生活中注意不漏出破绽，这些人就不可能轻易获得我们的个人信息。

企业方面：应该加强对企业内部管理用户信息的存储监控，对用户权限严格管控，防止攻击者以不合法的用户窃取相关私密信息。企业应熟悉了解自身网络环境和所处风险，建立系统的安全管理体系，培养一支自己的安全团队，定时对企业安全架构进行渗透测试，对暴露出的漏洞进行及时修复。加强对相应员工安全意识的培训，提升最基本安全素质。

5 结语

进入二十一世纪后，计算机的信息时代飞速发展催生了信息新时代的各行各业，但同时网络中的数据信息安全问题日益突出，层出不穷的个人数据信息泄露事件愈发严重，随着大数据时代的来临，针对个人的社会工程学的攻击手段的兴起，也为我们提出了更高的要求，研究社会工程学，了解攻击者的手段与心理，为如何防范生活中无处不在的社会工程学攻击与防止数据信息的交叉泄露提供有效的防御措施。

[1]李亚利.网络信息安全之社会工程学[J].科技经济导刊，2020，28（26）：24-25.

[2]高小辉.社会工程学的攻击原理及其实现方式[J].中阿科技论坛（中英阿文），2020（06）：147-150.

[3]廖寿丰.浅析社会工程学攻击[J].数字通信世界，2019（08）：255.